Vmware workstation12里如何正确快速安装可视化IDS系统Security Onion(图文详解)
不多说,直接上干货!
首先,大家要明确:
问:安全洋葱能阻止入侵吗?
答:这一点,和OSSIM一样,不能阻止入侵。
Security Onion基于Ubuntu,包含了入侵检测、网络安全监控、日志管理所需的Snort、Suricata、Bro、OSSEC、Sguil、Squert、ELSA、Xplico、NetworkMiner等众多工具。
Security Onion是用于网络监控和入侵检测的基于Ubuntu的Linux发行版。
https://security-onion-solutions.github.io/security-onion/
https://github.com/Security-Onion-Solutions
http://sourceforge.net/projects/security-onion/
https://sourceforge.net/projects/security-onion/files/
https://sourceforge.net/projects/security-onion/files/12.04.5.3/
因为,安全洋葱Security Onion(本文中简称:SO),它和OSSIM一样,是基于Debian Linux的系统,内部集成了很多开源安全工具例如: OSSEC、NIDS、HIDS以及各种监控工具等等。
所以,这里选择debian。
刚装完系统,会进入系统会启动XFCE桌面,如下
root权限下使用以下命令
由普通用户,切换到root用户
sudo -s 再
apt-get update && sudo apt-get dist-upgrade apt-get rule-update 中间得输入几个y
(更新安装的软件)。
点击Setup,提示输入密码。
输入当前用户的登录口令,你会看到Security Onion Setup的欢迎界面,单击Yes,Continue!按钮。
接下来,配置网络接口。
在这个环节系统会自动优化你的网卡,包括禁用一些有可能干扰监听的一些功能。更多信息查看,如果此时,选择No,not right now,那么就会手动配置你的管理和监听接口。一般我们还是选择Yes,configure /etc/network/interfaces。
通常,系统会默认的将第一块网卡设定为管理接口,如果只有一块网卡,那么管理接口和监听接口合二为一。
单击OK按钮后,通常需要给网卡指定静态IP地址。除非你在DHCP中配置了静态映射,才选择DHCP自动获取。
指定IP
因为,我自己虚拟机里的网段是,192.168.80.*
点击OK,然后指定掩码。
点击OK,然后设定网关。
点击OK后设定DNS。
点击OK后,在弹出设定本地域名的对话框,我们输入本地域名test.com。
点击OK后系统给出管理接口的网络配置清单。
核对无误后点击Yes,make changest按钮,这时系统提示重新启动。点击Yes,reboot!
注意:手动修改网络配置,你可以打开/etc/network/interfaces文件编辑iface eth0 inet static的配置。
编辑完成后重启网络服务。
$sudo /etc/init.d/networking restart
如果你是初学者,最好按系统提示重启服务器
重启
组件安装
当重启系统完成之后,我们再进入系统XFCE桌面环境。按图1中选择setup,
因为,之前,我已经配置好了网络。所以这里。选择,no
由于SO是使用电子邮件地址作为独立认证机制,下面输入你常用电子邮箱,将被Snorby用于生成报警日志。
点击OK按钮后,下面需要提供NSM(Network Security Monitoring)组件中Sguil模块的用户名,SO会在其他几款NSM工具中使用它。请务必记住。
我这里就以sguil吧。
输入OK后,下面要选择一个字符数字的口令以供让SO安装的NSM软件认证使用。稍后可以通过Sguil和Snorby更改口令。
那我这里,就为sguil_password(这样命名规范,是我大数据那边的一个习惯)
点击OK后, 确认口令。
点击OK后, 确认口令。
当再次确认口令,点击OK按钮后,也就是SO NSM应用程序创建完了凭证,配置脚本会问你,是否想安装企业日志搜索和归档ELSA。
你需要选择Yes,enable ELSA,ELSA为NSM日志数据提供了一个搜索引擎接口。
此时,SO会提示用户,准备做好变更,看你是否同意。
我们选择继续改变。SO要配置系统的时区,可以使用UTC,然后安装与其打包在一起的所有NSM应用程序。
接下来系统会自动设置,当设置完成后,你可以在/var/log/nsm/sosetup.log文件看到安装状态报告。
使用sostat检查服务运行状态
检查安装状态
当单机系统完成安装,应该采取了解安装状态,首先打开终端,运行下面命令,查看NSM代理是否在线。
如果你发现有组件没有启动成功,可以尝试sudo service nsm restart命令重启。
在排除故障时,你还需要验证传感器连接到服务器的autossh隧道是否正常。
注意:一个IP只能同时连接一台SO服务器。
Web浏览器访问
参考
快速安装可视化IDS系统Security Onion(http://chenguang.blog.51cto.com/350944/1783994)(李晨光老师)
快速安装可视化IDS系统 (带视频)
最新文章
- ASP.NET MVC5+EF6+EasyUI 后台管理系统(27)-权限管理系统-分配用户给角色
- 实用js函数收集
- 如何在page_load方法判断是服务器端控件引发的page_load方法
- Android-LogCat日志工具(一)
- leetcode 119
- lintcode: 左填充
- Android中的动画学习总结
- Dot Net设计模式—MVC模式
- 1、大部分社交平台接口不支持https协议。
- 【js 编程艺术】小制作四
- BZOJ 1877: [SDOI2009]晨跑(费用流)
- 201521123045 《Java程序设计》第8周学习总结
- Jmeter之http性能测试实战 非GUI模式压测 NON-GUI模式 结果解析TPS——干货(十一)
- 关于Java泛型"擦除"的一点思考
- Linux运维期中架构(50台集群)
- c/c++ 标准库 vector
- tensorflow 笔记13:了解机器翻译,google NMT,Attention
- 20172302《程序设计与数据结构》实验四Android程序设计实验报告
- c#中的 virtual override 和abstract 以及sealed
- vue中的axios